Preuve de correction de programme

Pour prouver la correction totale d'un programme, il faut montrer

que le programme termine pour toutes ses entrées valides (terminaison) et
que lorsqu'il s'arrête il donne un résultat correct (correction partielle).

$correction = terminaison \land correction~ partielle$

Dans ce cours nous nous intéresserons uniquement à la preuve de la correction partielle des programme.

Les principes qui permettent de prouver la correction partielle d'un programme sont issus des travaux de Robert W. Floyd, C.A.R. Hoare et Edsger W. Dijkstra principalement entre 1969 et 1974.

Qu'est-ce qu'un programme correct ?

C'est un programme qui fait ce qu'il est censé faire.

Mais comment exprimer ce qu'il est censé faire?

En exprimant ce qu'on attend du résultat du programme sous la forme de propriétés.

Le code écrit en langage de programmation explique à la machine comment calculer.
Les propriétés sont exprimées dans un langage qui permet le raisonnement et la preuve. Ce langage c'est celui des mathématiques.

Illustration sur le calcul du quotient et du reste d'une division euclidienne

Rappel : Étant donné deux entiers naturels $A,B\in\mathbb{N}$, l'entier $A$ peut s'écrire sous la forme

$ A = B \times q + r ~~\textit{avec}~~ 0\leq r< B. $

Algorithme de la division euclidienne : Considérons un programme de division euclidienne qui prend en paramètre deux entiers $A$ et $B$ et qui calcule les valeurs de $r$ et $q$ représentant respectivement le reste et le quotient de $A$ par $B$.

  r:=A ; q:=0 ;
  while(r >= B){
    r:=r-B ;
    q:=q+1 ;
  }

Si le programme est correct, en sortie les variables $r$ et $q$ doivent satisfaire l'équation $A = B \times q + r \textit{ avec } 0\leq r< B$

C'est ce que nous allons démontrer ensemble. Nous allons voir une technique de preuve qui permet de garantir la correction d'un programme.
Cette branche de l'informatique qui vise à éradiquer les bugs se nomme « vérification de programmes ».

S'il vous plaît, ne prononcez plus jamais le mot "dém..." ou "pr...", \ca me donne mal à la tête.

Quizz

Dans ce cours on ne s'intéressera pas à la terminaison des programmes.
Mais si on voulait garantir la terminaison de l'algorithme de division euclidienne,
quelles les conditions devraient satisfaire les paramètres $A$ et $B$ ?

$A>0$ ? Essayez d'exécuter le programme avec $A=-1$. Termine t'il ?
$A\geq B$ ? Essayez d'exécuter le programme avec $A\lt B$. Termine t'il ?
$B\gt 0$ ? Essayez d'exécuter le programme avec $B=1$. Termine t'il ?
$B\geq 0$ ? Essayez d'exécuter le programme avec $B=0$. Termine t'il ?

Représentation d'un programme par un automate de Von Neumann

Considérons l'algorithme DIV de division euclidienne qui prend en paramètre deux entiers $A$ et $B$ et qui calcule les valeurs des entiers $r$ et $q$ représentant respectivement le reste et le quotient de $A$ par $B$.

  r:=A ; q:=0 ;
  while(r >= B){
    r:=r-B ;
    q:=q+1 ;
  }

Mise sous forme d'automate

$Q_0, Q_1, Q_2, Q_s$ sont les états de l'automate, ils correspondent aux points de contrôle dans un processeur.
Les flèches qui relient les états encodent la structure de contrôle du programme : l'ensemble forme un automate aussi appelé graphe de flot de contrôle (Control Flow Graph)
- On commence l'exécution dans l'état $Q_0$ appelé point d'entrée
- Les états $Q_1$ et $Q_2$ forment une boucle
- On reste dans la boucle tant que la condition $r\geq B$ de la transition $Q_1 \to Q_2$ est vraie
- On sort de la boucle quand la condition $r< B$ de la transition $Q_1 \to Q_s$ devient vraie
- On termine l'exécution en $Q_s$ appelé point de sortie

Construction de graphe de contrôle au format .dot

Il est assez aisé d'obtenir une version graphique du graphe de contrôle d'un programme (abbrégé en CFG, de l'anglais Control Flow Graph).

Considérons le programme :

P0;
while (C1) {
  if (C2)
  then P1
  else P2 ;
  P3
}

On décrit chacune des transitions au format .dot :

prog -> entry;
entry -> while [label = "P0"];
while -> if    [label = "C1"];
while -> exit  [label = "not C1"];
if -> then     [label = "C2"];
if -> else     [label = "not C2"];
then -> endif  [label = "P1"];
else -> endif  [label = "P2"];
endif -> while [label="P3"];

On peut redéfinir les noms des noeuds et leur apparence

node [shape=plaintext, fontname=comic, fontsize=18, fontcolor=blue];
  prog [label="automate"];

node [shape=circle, peripheries=1, style=filled, color=black, fillcolor=gray, fontcolor=black];
  entry [label="Q0"];
  while [label="Qw"];
  if    [label="Qif"];
  then  [label="Qt"];
  else  [label="Qe"];
  endif [label="Qfi"];
  exit  [label="Qs" ];

Description complète du CFG

On réorganise les informations précédentes et on l'enregistre dans un fichier .dot

digraph cfg{
// NAME
node [shape=plaintext, fontname=comic, fontsize=18, fontcolor=blue];
  prog;

// STATES
node [shape=circle, peripheries=1, style=filled, color=black, fillcolor=gray, fontcolor=black];
  entry;
  while;
  if;
  then;
  else;
  endif;
  exit;

// TRANSITIONS
  prog -> entry ;
  entry -> while     [label = "..............  "];
  while:e -> exit:w  [label = "..............  "];
  while -> if        [label = "..............  "];
  if -> then         [label = "..............  "];
  then -> endif      [label = "..............  "];
  if -> else         [label = "..............  "];
  else -> endif      [label = "..............  "];
  endif -> while     [label = "..............  "];
}

Visualisation avec Graphviz

L'outil graphviz permet de visualier le fichier .dot et d'exporter le graphique dans différents formats .pdf, .jpg.

C'est avec cet outil que je génère les dessins d'automates. Installez le et essayez le.

CFG.dot — L'image produite par graphviz à partir de la description .dot

Les instructions essentielles et leur traduction en transitions d'automate

Pour l'instant nous avons utilisé uniquement deux types d'instructions :

les branchements sous condition (ou branchement conditionnels)
- "if ... then ... else ... ",
- "while",
- "do .. until"
Ils peuvent tous être réalisés avec des transitions test qui portent la condition de branchement.
les instructions d'affectations $variable := valeur$ qui modifient en mémoire la valeur de la variable.
Elles sont traduites sous forme de transitions affectation qui peuvent comporter une ou plusieurs affectations (qui auront lieu en parallèle).

Il reste à voir deux instructions qui effectuent un saut inconditionnel.

L'instruction break

Elle interrompt la boucle et saute à l'état de sortie de la boucle.
Elle se traduit par une transition sans label qui relie l'état courant à l'état de sortie de la boucle (qui n'est pas nécessairement l'état de sortie du programme).

L'instruction return

Lorsqu'un programme doit rendre une valeur, on lui ajoute l'instruction "return..." qui a deux effets :

elle interrompt le calcul (comme break)
elle rend une valeur, stockée dans la variable $result$ prédéfinie par le compilateur.

L'instruction "return $expression$" est équivalente à une transition de l'état courant, disons $q$ vers l'état $Q_s$ de sortie du programme, qui effectue une affectation de la valeur de l'expression à la variable $result$.
$ q \xrightarrow{result := valeur} Q_s $
L'instruction "return" sans expression est équivalente à "return $void$" où $void$ (muet) est une expression sans valeur, dans ce cas la variable $result$ ne re\coit pas de valeur et on simplifie la transition en écrivant seulement
$ q \to Q_s $

Quizz : Vrai / Faux ?

Grâce à l'instruction return il est possible d'interrompre une boucle et de sauter directement dans l'état de sortie de l'automate.

Quizz : l'ordre des affectations est-il important ?

Les traductions proposées pour les 2 programmes suivants sont-elles correctes ?

P1	P2
x:=1 ; y:=x ;	x:=x+1 ; y:=y+1 ;

Lorsque deux affectations sont indépendantes, l'ordre dans lesquel les effectuer n'a pas d'importance et on peut même les effectuer en parallèle.
Il y a une dépendance entre deux affectations $x:=e_1$ et $y:=e_2$ lorsque la valeur de la partie droite ($e_1$ ou $e_2$) de l'une d'elle dépend de la variable ($x$ ou $y$) de l'autre. Dans ce cas l'ordre dans lequel on effectue les affectations a de l'importance et on ne doit pas regrouper les deux affectations sur la même transition.

$Q_0 \xrightarrow{x:=1 // y:=x} Q_1$ : traduction correcte / incorrecte ?
$Q_0 \xrightarrow{y:=y+1} Q_1 \xrightarrow{x:=x+1} Q_2$ : traduction correcte / incorrecte ?
$Q_0 \xrightarrow{y:=x} Q_1 \xrightarrow{x:=1} Q_2$ : traduction correcte / incorrecte ?
$Q_0 \xrightarrow{x:=x+1 // y:=y+1} Q_1$ : traduction correcte / incorrecte ?

Quizz : compilation = traduction de structure de contrôle en automates

Voici le graphe de flot de contrôle du programme

x:=1 ; y:=x+1 ; z:=y+1

Consigne : Dessinez le GFC associé à chacun des programmes ci-dessous

```
if (x<0) then x:=1 else x:=2 ; x:=x+1
```
```
while (x<0) { x:=x+1 }
```
```
do { x:=x+1 } until (x>1)
```

while (true) { if (x<0) then x:=x+1 else return }

Pour vous aidez on donne (dans le désordre) la structure des différents GFCs ; il n'y en a que 3 et c'est normal.

GFC

GFC

GFC

Question : Combien en avez-vous dessiné dont vous êtes sûr ?

1? 2? 3? 4?

Invariants d'états

Comment juger de la correction d'un programme ? selon quels critères ?

Pour prouver qu'un programme est correct, on doit énoncer les propriétés qu'il est censé respecter et les associer aux états de l'automate.

Exemple : Dans le cas de la division euclidienne, les propriétés qui nous intéressent sont :

$A = B \times q + r$
$r < B$
$0 \leq r$

Observons ces propriétés au cours d'une exécution de l'automate DIV.

Exécution de l'automate et observation des propriétés

L'automate DIV est une version compilée de l'algorithme de division euclidienne.

Pour exécuter l'algorithme, on commence dans l'état $Q_0$ avec des valeurs pour les paramètres, par exemple $A = 8$ et $B = 3$.

On passe de l'état courant à un autre en empruntant une transition :

s'il s'agit d'une transition test, on peut la franchir uniquement si la condition vaut $vrai$.
s'il s'agit d'une transition affectation, on effectue les calculs et les affectations.
s'il n'y a pas de transition sortant de l'état courant, l'exécution s'arrête.

Exécution avec $A=8$ et $B=3$

			condition	propriété	propriété
état	~~$q$~~	~~$r$~~	$r< B$	$A=B \times q + r$	$0\leq r$
$Q_0$
$Q_1$	0	8	F	V	V
$Q_2$	0	8	F	V	V
$Q_1$	1	5	F	V	V
$Q_2$	1	5	F	V	V
$Q_1$	2	2	V	V	V
$Q_s$	2	2	V	V	V

Propriétés invariantes associées aux états de l'automate

On associe à chacun des états $Q_i$ de l'automate, une propriété $\psi_i$ dite invariante, au sens où

Définition

la propriété $\psi_i$ est vraie à chaque fois que l'exécution du programme passe par l'état $Q_i$.

Exemple :

On associe à l'état de sortie $Q_s$ de l'automate DIV, la propriété $\psi_s$ attendue du programme

$ \psi_s : A = B \times q + r \land 0\leq r \land r< B $

Cette propriété en sortie de programme traduit l'exigence que les valeurs de $q$ et $r$ calculées par le programme vérifient les contraintes qui relient le quotient et le reste de la division entière de $A$ par $B$.

Définition

La propriété $\psi_s$ associée à l'état de sortie $Q_s$ définit le critère de correction du programme.

Ce qui nous intéresse vraiment ce sont les propriétés en sortie de programme.

Mais pour démontrer qu'elles sont satijsfaites nous aurons besoin de nous appuyer sur les propriétés des autres états au cours de l'exécution.

Et pour que notre raisonnement soit valable pour toutes les exécutions possibles du programme, il faut que les propriétés qui nous seront utiles ne dépendent pas du chemin pris par l'exécution.

Elles doivent être invariantes!

Si on parvient à montrer que $\psi_s$ est un invariant de $Q_s$ alors on aura la garantie que, lorsque l'exécution du programme atteindra l'état de sortie, la propriété désirée sera vraie.

Et si on n'atteint jamais l'état de sortie ?

Quizz : valeurs des variables en $Q_0$ ?

Quelles sont les valeurs de $r$ et $q$ au point d'entrée du programme (état $Q_0$) ?

$r=A, q=0$
les valeurs que contenaient précédemment les cellules mémoires $r$ et $q$
$r=0, q=0$
une valeur impossible à prédire

Quizz : Invariants des états de l'automate DIV

Exécution avec $A=8$ et $B=3$

condition propriété propriété

état $~q~$ $~r~$ $r<B$ $A =B \times q + r$ $0\leq r$

$Q_0$ ? ? ? ? ?

$Q_1$ 0 8 F V V

$Q_2$ 0 8 F V V

$Q_1$ 1 5 F V V

$Q_2$ 1 5 F V V

$Q_1$ 2 2 V V V

$Q_s$ 2 2 V V V

			condition	propriété	propriété
$Q_0$	?	?	?	?	?
$Q_1$	0	8	F	V	V
$Q_2$	0	8	F	V	V
$Q_1$	1	5	F	V	V
$Q_2$	1	5	F	V	V
$Q_1$	2	2	V	V	V
$Q_s$	2	2	V	V	V

Consigne : Associez les propriétés aux états où elles sont invariantes, c'est à dire $vraies$ à toute étape de l'exécution.

$Q_1, Q_2, Q_s$
$r < B$
$Q_0$
$0 \leq r$

$Q_1, Q_2, Q_s$
$Q_s$
aucun(e)
$A = B * q + r$

Homer a posé une bonne question

Et si on n'atteint jamais l'état de sortie du programme ?

Si le programme boucle indéfiniment, est-ce que $\psi_s$ est un invariant de $Q_s$ ?

Justifiez votre réponse.

Cette question fera l'objet d'un test ...

Principe de preuve de correction de programmes

Objectif de la leçon

Une fois qu'on a découvert (soit à l'intuition, soit par un raisonnement en arrière),
des propriétés qui nous paraissent susceptibles d'être des invariants (à ce stade on les appelle des candidats),
on doit prouver que ce sont effectivement des invariants.

Comment prouver qu'une propriété est un invariant ?

Étant donné une transition $q \xrightarrow{inst} q'$ de l'automate et des candidats $\psi$ et $\psi'$ associés aux états $q$ et $q'$,
la notation sous forme de triplet de Hoare résume le lien entre $\psi$ et $\psi'$ via la transition $q \xrightarrow{inst} q'$.

Un triplet de Hoare

$ \{~ \psi ~\} : q \xrightarrow{inst} q' : \{~ \psi' ~\} $

se lit

si la propriété $\psi$ est vérifiée à l'état $q$ alors, après l'exécution des instructions de la transition, la propriété $\psi'$ est nécéssairement satisfaite en $q'$.

Principe de preuve d'invariants (Floyd-Hoare)

Un triplet de Hoare établit un lien de conséquence logique entre la propriété de l'état source $q$ et la propriété associée à l'état cible $q'$.

C'est moi qui ai inventé ça en 1969.

Je t'ai un petit peu aidé quand même avec mon article de 1967 "Assigning Meanings to Programs"

Une preuve de programme consiste à démontrer, transition par transition, que tous les liens de conséquence logique sont valides alors les propriétés associées aux états de l'automate formeront une chaîne de causalités logiques où chaque propriété garantit la suivante, depuis la propriété initiale du programme en $Q_0$ jusqu'à la propriété souhaitée en $Q_s$.

Calcul de plus faible précondition de Dijkstra

Folks, reconnaissez que j'ai quand même considérablement simplifié votre méthode en automatisant le traitement des affectations.
Et je suis le seul à avoir un vrai nom d'informaticien qui contient $ijk$ les variables les plus utilisées en informatique.

En pratique on utilise la propriété cible, $\psi'$ en $q'$, pour déterminer $\psi$ en $q$
et on prend pour $\psi$ la plus faible condition précédente qui garantit que $\psi'$ sera vérifiée.

Ça semble compliqué mais vous allez voir sur les exemples que c'est assez intuitif ;
à condition d'avoir la clarté d'esprit d'Edsger...

Quizz 1 : calcul de préconditions

Consigne : Donnez la précondition garantissant que la propriété après l'affectation soit satisfaite.

$\{~ ...\vphantom{pair(y)}... ~\} ~~ x:=y ~~ \{~ pair(x) ~\}$
$\{~ ...\vphantom{impair(y)}... ~\} ~~ x:=y+1 ~~ \{~ pair(x) ~\}$
$\{~ ...\vphantom{pair(x)}... ~\} ~~ y:=z ~~ \{~ pair(x) ~\}$
$\{~ ...\vphantom{impair(x)}... ~\} ~~ x:=x+1 ~~ \{~ pair(x) ~\}$

Vous avez bien réfléchi ? Et bien vous vous êtes compliqué la vie pour rien, dirait Edsger.
Pour que la propriété $pair(x)$ soit vraie quand on remplace $x$ par une expression $e$ même très compliqué, il suffit que $pair(e)$ soit vraie. Il suffit donc de reprendre la même propriété $pair$ et de remplacer $x$ par la valeur qu'on lui affecte, $e$.

Voici la correction d'Edsger Dijkstra

J'aurais tout simplement écrit :

$ \{~ pair(y) ~\} ~~ x:=y ~~ \{~ pair(x) ~\} $
$ \{~ pair(y+1) ~\} ~~ x:=y+1 ~~ \{~ pair(x) ~\} $
$ \{~ pair(x) ~\} ~~ y:=z ~~ \{~ pair(x) ~\} $, puijsque la variable $x$ n'est pas modifiée par l'affectation
$ \{~ pair(x+1) ~\} ~~ x:=x+1 ~~ \{~ pair(x) ~\} $

Voyons si vous avez compris la simplicité du calcul de précondition de Dijkstra.

Consigne : Associez la précondition garantissant que la propriété après l'affectation soit satisfaite, avec la clarté d'esprit d'Edsger Dijkstra !

$\{~ ...\vphantom{pair(x+1)}... ~\} ~~ x:=x+1 ~~ \{~ pair(x) ~\}$
$\{~ ...\vphantom{impair(y^2)}... ~\} ~~ x:=y^2 ~~ \{~ impair(x) ~\}$
$\{~ ...\vphantom{impair(x+1)}... ~\} ~~ x:=x+1 ~~ \{~ impair(x) ~\}$
$\{~ ...\vphantom{pari(1+y^2)}... ~\} ~~ x:= 1 + y^2 ~~ \{~ pair(x) ~\}$

Généralisation de nos observations

Considérons des expressions mathématiques quelconque $e_1$ et $e_2$, et une propriété logique quelconque $\psi$ - qui peut contenir des fonctions, des opérateurs et des variables $x,y,...$.

Vous pouvez imaginer que

$\psi$ est une formule logique comme celle qui suit ou pire encore : $ odd(x) \land prime(y) \Longrightarrow f(x,y) \geq g(x) \lor f'(x)<0 $
$e_1$ est une expression mathématique très simple : $42$
$e_2$ est une expression mathématique plus compliquée : $\sum_{i=1}^n i^2$

Précondition de Dijkstra

Pour que la propriété $\psi$ soit vraie quand

on a affecté la valeur de l'expression $e_1$ à la variable $x$

et qu'on a affecté la valeur de $e_2$ à la variable $y$,

il suffit de prendre pour précondition la propriété $\psi$, dans laquelle on remplace chaque occurence de $x$ par $e_1$ et chaque occurence $y$ par $e_2$.

occurence est un mot savant pour dire « apparition », et au lieu de « remplacement », on préfère parler de substitution.

L'intérêt du calcul de Dijkstra c'est qu'il est valable quelle que soit la complexité de la fomule et des expressions. On peut le résumer ainsi

$ \{~ \psi[ x \leftarrow e_1, y \leftarrow e_2 ] ~\} ~~ x:=e_1, y:=e_2 ~~ \{~ \psi ~\} $

où $formule ~ [ variable \leftarrow expression ]$ désigne l'opération de substitution qui remplace chaque occurence de la $variable$ par l'$expression$ dans la $formule$.

C'est simple, à condition de ne pas se tromper dans les substitutions. C'est entièrement automatisable et un ordinateur ferait ça bien mieux qu'un humain.

L'ennui c'est que ce sont les humains qui les programment...

Quizz 3 : susbstitution

Consigne : Appliquez méthodiquement les substitutions pour retrouver le résultat correct.

$\{~ x - 1 ~\}[ z \leftarrow x - 1] = ...\vphantom{(x-1) -1 \equiv x-2}... $
$\{~ x - y ~\}[ z \leftarrow y + x] = ...\vphantom{x-y}... $
$\{~ x \times y ~\}[ y \leftarrow 1 - y] = ...\vphantom{x \times (1-y) \equiv x - x \times y}... $
$\{~ x - y ~\}[ x \leftarrow y+y, y \leftarrow y-x ] = ...\vphantom{(y+y) - (y-x) \equiv (y+y) -y +x \equiv y+x}... $

Maintenant qu'on maîtrise le calcul des préconditions de Dijkstra, on peut revenir à notre problème de départ

Que faut-il prouver pour valider un triplet ?

Supposons qu'on a choisi d'associer les candidats $\psi$ et $\psi'$ aux états $q$ et $q'$ reliés par une transition $q \xrightarrow{inst} q'$. Ce qui se résume sous la forme du triplet de Hoare.

$ \{~\psi~\} : q \xrightarrow{inst} q' : \{~\psi'~\} $

On souhaite démontrer que le choix de $\psi$, avant la transition, garantit la propriété $\psi'$ en $q'$.

$\psi'$ sera alors un invariant de $q'$

À condition qu'on réussijsse à démontrer que $\psi$ est un invariant de $q$

Yeap! Les propriétés forment une chaîne de conséquences logiques le long d'un chemin d'exécution, chacune garantissant la suivante.

Le type de preuve diffère selon la nature de l'instruction $inst$. Examinons chacun des cas.

Au passage on va justifier le fondement du calcul de précondition d'Edsger.

Dans le cas d'une transition d'affectation

$ \{~\psi~\}~q \xrightarrow{v:=e} q'~\{~\psi'~\} $

il faut montrer que

si la propriété $\psi$ est vraie en $q$ pour les valeurs des variables dans la mémoire $M$,
la propriété $\psi'$ est vraie en $q'$ dans la mémoire en $M$ modifiée par l'affectation $v:=e$.

Ce qui revient à montrer l'implication :

$ (1) ~~ \psi ~\overset{?}{\Longrightarrow}~ \psi'[v\leftarrow e] $

où $\psi'[v\leftarrow e]$ désigne la propriété $\psi'$ dans laquelle on a substitué (c'est à dire remplacé) toutes les occurences de la variable $v$ par $e$. On appelle $[v\leftarrow e]$ une substitution.

Le coup de génie de Dijsktra c'est d'avoir compris que
pour une transition affectation $ \{~\psi~\}~q \xrightarrow{v:=e} q'~\{~\psi'~\} $
le meilleur choix pour $\psi$ en $q$, pour satisfaire l'implication (1)
c'est de prendre
$ \psi \overset{def}{=} \psi'[v\leftarrow e] $

Ainsi, l'implijcation (1) est trivialement vraie !

En effet,

Avec ce choix pour $\psi$,
l'implication $(1) ~~ \psi ~\overset{?}{\Longrightarrow}~ \psi'[v\leftarrow e]$ devient $\psi'[v\leftarrow e] \Longrightarrow \psi'[v\leftarrow e]$
qui est la forme $A \overset{?}{\Longrightarrow} A$, ce qui est trivialement vraie.

Dans le cas d'une transition test

$ \{~\psi~\} : q \xrightarrow{\textit{condition}} q' : \{~\psi'~\} $

il faut montrer que

si la propriété $\psi$ est vraie en $q$ et qu'on passe la transition (ce qui signifie que la condition du test vaut $vrai$)
alors la propriété $\psi'$ est vraie en $q'$.

Dans ce raisonnement la mémoire ne joue aucun rôle puisque l'évaluation d'une transition test ne modifie pas les variables : la mémoire $M$ est inchangée entre $q$ et $q'$.

Le raisonnement précédent s'écrit sous la forme d'une implication

$ (2) ~~ \psi \land condition ~\overset{?}{\Longrightarrow}~ \psi' $

dont il faut prouver la validité.

Cette fois-ci, ije n'ai aucune astuce à proposer pour aider à choisir $\psi$.

À force de pratiquer j'en ai découvert quelques unes. Je vous les présenterai dans une prochaine leçon.
En attendant voyons si vos intuitions sont bonnes.

Quizz 4 : précondition de transition test

On considére des implications de la forme $ \{~ \psi ~\} \land condition \overset{?}{\Longrightarrow} \{~ \psi' ~\} $ issues de transitions test $ \{~ \psi ~\} : q \xrightarrow{condition} q' : \{~ \psi' ~\} $

Consigne :

Choississez la plus faible condition $\psi$ en pointillés de sorte que l'implication devienne triviale.

$\{~ ...\vphantom{x=0}... ~\} \land y>0 \overset{?}{\Longrightarrow} \{~ x=0 ~\}$
$\{~ ...\vphantom{x\leq 0}... ~\} \land x\geq 0 \overset{?}{\Longrightarrow} \{~ x=0 ~\}$
$\{~ ...\vphantom{true}... ~\} \land y=0 \overset{?}{\Longrightarrow} \{~ x\times y=0 ~\}$
$\{~ ...\vphantom{false}... ~\} \land x\neq 0 \overset{?}{\Longrightarrow} \{~ x=0 ~\}$

Plus difficile :

$\{~ ...\vphantom{y\neq 0}... ~\} \land x\times y=0 \overset{?}{\Longrightarrow} \{~ y\neq 0 ~\}$
$\{~ ...\vphantom{false}... ~\} \land x>0 \overset{?}{\Longrightarrow} \{~ x=0 ~\}$
$\{~ ...\vphantom{true}... ~\} \land x>0 \overset{?}{\Longrightarrow} \{~ x\geq 0 ~\}$
$\{~ ...\vphantom{x\in Int}... ~\} \land x>0 \overset{?}{\Longrightarrow} \{~ x\geq 1 ~\}$

Principe de preuve de correction de programmes

Que faut-il prouver pour valider un triplet $\{~\psi~\} Q \xrightarrow{inst} Q'\{~ \psi' ~\}$ ?

Deux cas selon la nature de l'instruction $inst$ :

Dans le cas d'une transition d'affectation
$ \{~ \psi ~\} Q \xrightarrow{v:=e} Q' \{~ \psi' ~\} $
il faut montrer que
si la propriété $\psi$ est vraie en $q$ pour les valeurs des variables dans la mémoire $M$,
alors la propriété $\psi'$ est vraie en $q'$ dans la mémoire $M$ modifiée par l'affectation $v:=e$.
Ce qui revient à montrer l'implication :
$ \psi \Longrightarrow \psi'[v\leftarrow e] $
où $\psi'[v\leftarrow e]$ désigne la propriété $\psi'$ dans laquelle on a substitué (c'est à dire remplacé) toutes les occurences (c'est à dire apparitions) de la variable $v$ par l'expression $e$.
Pour cette raison, on appelle $[v\leftarrow e]$ une substitution .
Exemple de l'effet d'une substitution :

$ \begin{array}{l} \{~ A = B \times q + r,~ 0\leq r ~\} [r\leftarrow (r-B)] \\=~ \{~ A = B \times q + (r-B),~ 0\leq(r-B) ~\} \end{array} $
Dans le cas d'une transition test
$ \{~ \psi ~\} Q \xrightarrow{condition} Q' \{~ \psi' ~\} $
il faut montrer l'implication :
$ \psi \land condition \Longrightarrow \psi' $

Modèle de rédaction d'une preuve de correction partielle de programme

Application au cas de l'algorithme de division euclidienne

Au départ on ne connaît que la propriété souhaitée à l'état de sortie $Q_s$ :

$ \psi_s : A = B \times q + r \land 0 \leq r < B \text{, on utilisera la notation ensembliste } \psi_s : \left\{\begin{array}{l} A = B \times q + r \\ 0 \leq r \\ r< B \end{array}\right\} $

Preuve de correction partielle

On connaît la propriété $\psi_s$ en $Q_s$, la transition $Q_1 \to Q_s$ nous permet de déterminer la propriété $\psi_1$ par un raisonnement en arrière.

$\psi_1 : Q_1 \xrightarrow{r< B} Q_s : \underset{connue}{\psi_s}$ est une transition test.
La propriété $\psi_1$ en $Q_1$ doit donc satisfaire l'implication : $ \psi_1 \land \overset{test}{\overbrace{r< B}} \Longrightarrow \psi_s ~~ie. $
$ \psi_1 : \left\{\begin{array}{l} ......... \\ ......... \\ ......... \end{array}\right\} \land r< B \Longrightarrow \psi_s : \left\{\begin{array}{l} (1):~~ A = B \times q + r \\ (2):~~ 0 \leq r \\ (3):~~ r< B \end{array}\right\} $

On choisit de prendre
$ \begin{array}{c} \psi_1 : \left\{\begin{array}{l} (a):~~A = B \times q + r \\ (b):~~ 0\leq r \end{array}\right\} \end{array} $

L'implication est valide puisque
$(a) \Rightarrow (1)$
$(b) \Rightarrow (2)$
$test \Rightarrow (3)$

Les preuves de programmes que vous rencontrerez sont à peu près de ce niveau de difficulté.
En pratique des assistants de preuves permettent d'alléger la peine du programmeur. Ils sont capables d'effectuer 90% des étapes de preuves automatiquement.

On connaît désormais la propriété $\psi_1$ en $Q_1$, la transition $Q_2 \to Q_1$ nous permet de déterminer la propriété $\psi_2$ en $Q_2$ par un raisonnement en arrière.
1. La transition $ ~~ \psi_2 : Q_2 \xrightarrow{r:=r-B~;~q:=q+1} Q_1 : \underset{connue}{\psi_1} $ ne fait que des affectations
2. Le meilleur choix pour $\psi_2$ est donc
  $ \psi_2 \overset{def}{=} \psi_1[ r\leftarrow r-B~;~q \leftarrow q+1] $
3. On effectue les substitutions
  $ \begin{array}{rcl} \psi_2 &\overset{def}{=}& \psi_1[ r\leftarrow r-B~;~q \leftarrow q+1] \\&=& \left\{\begin{array}{l} A = B \times q + r \\ 0\leq r \end{array}\right\}[ r\leftarrow r-B~;~q \leftarrow q+1] \\&=& \left\{\begin{array}{l} A = B \times (q+1) + (r-B) \\ 0\leq (r-B) \end{array}\right\} \end{array} $
4. On obtient par le calcul de précondition de Dijkstra, après simplification
  $ \psi_2 : \left\{\begin{array}{l} A = B \times q + r \\ 0\leq (r-B) \end{array}\right\} $

On connaît désormais les deux propriétés de la transition $Q_1 \xrightarrow{r \geq B} Q_2$ qui referme la boucle.
On peut donc vérifier que nos choix de propriétés sont bien des invariants.

Vérification de nos choix d'invariants
$\psi_1 : Q_1 \xrightarrow{r\geq B} Q_2 : \psi_2$ est une transition test.
Elle doit donc satisfaire l'implication : $ \psi_1 \land \overset{test}{\overbrace{r\geq B}} \overset{?}{\Longrightarrow} \psi_2 ~~ie. $
$ \psi_1 : \left\{\begin{array}{l} (a):~~ A = B \times q + r \\ (b):~~ 0 \leq r \\ \end{array}\right\} \land r\geq B \Longrightarrow \psi_2 : \left\{\begin{array}{l} (1):~~ A = B \times q + r \\ (2):~~ 0 \leq (r-B) \\ \end{array}\right\} $

Les propriétés sont fixées par nos choix précédents.
Il s'agit donc de faire la preuve que l'implication est valide, c'est à dire qu'on doit démontrer $(1)$ et $(2)$ à l'aide des propriétés de la prémisse de l'implication (partie gauche de l'implication).
$(a) \Rightarrow (1)$
$test \Rightarrow (2)$, puisque (2) est une reformulation équivalente de la condition du test $r \geq B$

L'implication de l'étape de vérification est valide, donc nos choix pour $\psi_1,\psi_2,\psi_s$ sont bien des invariants.

Attendez, attendez. Je cogite depuis votre discussion sur les enchaînement de conséquences logiques et je suis perplexe :
dans une boucle, le chemin d'exécution retourne au point d'entrée de la boucle, alors qui garantit qui ?

$\psi_1$ garantit $\psi_2$ après la transition $Q_1 \to Q_2$ et $\psi_2$ garantit $\psi_1$ après la transition $Q_2 \to Q_1$,
de sorte que, tant que le programme reste dans la boucle les invariants $\psi_1$ et $\psi_2$ se garantissent mutuellement.
Lorsque l'exécution sort de la boucle par la transition $Q_1 \to Q_s$, $\psi_1$ garantit la propriété $\psi_s$ qui nous intéresse en sortie.

On connaît la propriété $\psi_1$ en $Q_1$, la transition $Q_0 \to Q_1$ nous permet de déterminer la propriété $\psi_0$ en $Q_0$ par un raisonnement arrère.
$Q_0$ est le point d'entrée du programme, la propriété $\psi_0$ indique donc les conditions d'utilisation du programme.

Condition d'utilisation du programme
La transition $Q_0 \xrightarrow{r:=A~;~q:=0} Q_1$ ne fait que des affectations
Le meilleur choix pour $\psi_0$ est donc
$ \psi_0 \overset{def}{=} \psi_1[ r\leftarrow A~;~q \leftarrow 0] $

On effectue les substitutions
$ \begin{array}{rcl} \psi_0 &\overset{def}{=}& \psi_1[ r\leftarrow A~;~q \leftarrow 0] \\&=& \left\{\begin{array}{l} A = B \times q + r \\ 0\leq r \end{array}\right\}[ r\leftarrow A~;~q \leftarrow 0] \\&=& \left\{\begin{array}{l} A = B \times 0 + A \\ 0\leq A \end{array}\right\} = \left\{\begin{array}{l} true \\ 0\leq A \end{array}\right\} \end{array} $

On obtient par le calcul de précondition de Dijkstra, après simplification
$ \psi_0 : \{~ 0\leq A ~\} $

Pour que le résultat en sortie $(Q_s)$ satisfasse la propriété de correction $\psi_s$ il faut utiliser le programme avec une valeur de $A$, en entrée $(Q_0)$, qui respecte la condition $\psi_0$, à savoir $0\leq A$.

Astuces classiques en preuve de programmes

Introduction d'une égalité

Connaître une égalité $n=e$ est utile dans une preuve car cela permet de remplacer $n$ par $e$ (ou inversement $e$ par $n$), soit pour simplifier une expression, soit pour faire apparaitre la variable $n$ dans une expression qui parlait de $e$. Lorsqu'on découvre une égalité invariante dans un état, il faut la noter (et la prouver). Elle facilitera la preuve des autres invariants.

Il est fréquent que la condition de sortie de boucle d'un programme soit une inégalité arithmétique telle que $n \leq e$ où $n$ est un compteur entier et $e$ une expression. Lorsqu'on exécute le programme sur des valeurs concrètes il se peut qu'à la sortie de la boucle, le compteur $n$ soit en fait égal à l'expression $e$. Il est alors utile d'ajouter l'égalité $n=e$ à l'invariant de sortie de boucle afin de faciliter la preuve, mais bien sûr cela à une contre-partie car il faudra prouver l'égalité qu'on vient d'ajouter.

Prouver une égalité : Lorsque l'égalité $n=e$ est associée à l'état cible, $Q'$, d'une transition test de la forme

$ Q \xrightarrow{n\leq e} Q', $

la plus faible condition en $Q$ qui permet de prouver l'égalité en $Q'$ est l'inégalité opposée $n\geq e$. En effet,

$ \begin{array}[t]{c}\underbrace{n\geq e}\\\psi\end{array} \land \begin{array}[t]{c}\underbrace{n\leq e}\\condition\end{array} \Longrightarrow \begin{array}[t]{c}\underbrace{n=e}\\\psi'\end{array} $

Trouver l'invariant en tête de boucle

L'invariant clef d'une preuve de programme est celui associé au noeud qui contrôle la boucle, qu'on appele la tête de boucle, notons le $Q$. Les transitions tests qui décident s'il faut continuer ou interrompre la boucle sont attachées à ce noeud. C'est donc par ce noeud

qu'on entre dans la boucle la première fois,
qu'on repasse à chaque tour de boucle,
qu'on termine la dernière itération avant de sortir de la boucle.

On peut déduire de ces observations plusieurs contraintes sur la propriété $\psi$ associée à $Q$:

La propriété doit mentionner les variables modifiées dans la boucle ; à moins que ces variables ne jouent aucun rôle dans la correction du programme.
$\psi$ doit être satisfaite par les valeurs des variables la première fois qu'on entre dans la boucle.
$\psi$ doit être satisfaire par les valeurs des variables juste avant la sortie de boucle.

Principe de la balance équilibrée

Les remarques précédentes sont utiles pour découvrir les invariants en tête des boucles dans les algorithmes de calculs arithmétiques.

Exemple (1) la multiplication na\ive

L'algorithme cherche à calculer la valeur de $A\times B$ au moyen des variables $r$ et $n$,
en maintenant à chaque itération une égalité (à découvrir) $ (1)~~A\times B = r ... n $

lors du premier passage en $Q: r=0,~ n=B$ et l'équation $(1)$ devient $A\times B = 0 ... B$.
On en déduit qu'il faut remplacer les pointillées par le terme « $+~A~\times $ » et l'égalité prend alors la forme
$ (1)~~A\times B = r + A\times n $
lors du dernier passage en $Q: r=A\times B,~ n=0$ et l'égalité $(1)$ devient $A\times B = A\times B + A\times 0$ qui est valide.
Il est donc raisonnable de prendre $(1)~~A\times B = r + A\times n$ pour invariant de tête de boucle.

On parle d'équilibrage de balance car la variable $r$ augmente à chaque itération tandis que la variable $n$ diminue de manière à maintenir l'équilibre entre les termes de gauche et de droite de l'égalité.

Exemple (2) l'exponentation naïve

Appliquez le même raisonnement que précédemment pour découvrir l'invariant en tête de boucle:

$ (2)~~A^B = r ... n $

au premier passage en $Q: r=1,~ n=B$
au dernier passage en $Q: r = A^B,~ n=0$

Exemple (3) l'exponentiation rapide

Appliquez le même raisonnement que précédemment pour découvrir l'invariant en tête de boucle:

$ (3)~~ A^B = r ... x ... n $

$(i)$ au premier passage en $Q: r=1,~ x=A,~ n=B$
$(ii)$ au dernier passage en $Q: r=A^B,~ x=?,~ n=0$

On cherche un invariant de $Q$, donc une équation générale qui soit valide à chaque passage en $Q$. Il faut donc réussir à obtenir $A^B$ avec $r,x,n$ de sorte que

$(i)$ le terme $r ... x ... n$ donne $A^B$ quand $r=1,~ x=A,~ n=B$
$(ii)$ donne $A^B$ quand $r=A^B,~ x=?,~ n=0$

D'après $(i)$, il faut composer le terme $x^n$ pour obtenir $A^B$ dans le cas $(i)$ ; et dans le cas $(ii)$ ce terme devient $?^0$ qui vaut 1.
On a déjà déterminé une partie de l'équation $(3)~~ A^B = r ... x^n$. Il reste à trouver par quel opérateur remplacer les "..." mais ca ne devrait pas être trop difficile.

Les inégalités strictes sur les entiers

Une inégalité stricte entre entiers peut se réécrire sous la forme d'une inégalité large équivalente.

Exemple

$n:int \Longrightarrow (n\gt 0 \equiv n\geq 1)$
$n,k:int \Longrightarrow (n\gt k \equiv n\geq k+1)$
$n,k:int \Longrightarrow (n\lt k \equiv n\leq k-1)$
$n:int \Longrightarrow (n\lt 0 \equiv n\leq -1)$

			condition	propriété	propriété
état	$~q~$	$~r~$	$r<B$	$A =B \times q + r$	$0\leq r$
$Q_0$	?	?	?	?	?
$Q_1$	0	8	F	V	V
$Q_2$	0	8	F	V	V
$Q_1$	1	5	F	V	V
$Q_2$	1	5	F	V	V
$Q_1$	2	2	V	V	V
$Q_s$	2	2	V	V	V